84.64K
Категория: ИнформатикаИнформатика
Похожие презентации:
IDS/IPS — Системы обнаружения и предотвращения вторжений. Лекция 9
IDS/IPS — Системы обнаружения и предотвращения вторжений. Лекция 9
Что такое IPS/IDS. Дальнейшее развитие IDS
Что такое IPS/IDS. Дальнейшее развитие IDS
Роль антивируса, систем обнаружения и предотвращения вторжений (IDS/IPS)
Роль антивируса, систем обнаружения и предотвращения вторжений (IDS/IPS)
Методы и средства защиты информации
Методы и средства защиты информации
Обнаружение атак. Системы обнаружения атак, СОА
Обнаружение атак. Системы обнаружения атак, СОА
Основы безопасности информационных технологий. Системы обнаружения атак и вторжений
Основы безопасности информационных технологий. Системы обнаружения атак и вторжений
Технология обнаружения атак
Технология обнаружения атак
Основы безопасности информационных технологий. Средства защиты от нарушений
Основы безопасности информационных технологий. Средства защиты от нарушений
Организационные и технические способы и средства защиты информации. Шифровальная (криптографическая) защита информации
Организационные и технические способы и средства защиты информации. Шифровальная (криптографическая) защита информации
Безопасность информационных систем. Обеспечение безопасности компьютерных сетей
Безопасность информационных систем. Обеспечение безопасности компьютерных сетей

IDS / IPS — Обнаружение и предотвращение сетевых вторжений

1.

IDS / IPS —
ОБНАРУЖЕНИЕ И
ПРЕДОТВРАЩЕНИЕ
СЕТЕВЫХ ВТОРЖЕНИЙ.

2.

Основные понятия
IDS / IPS (Intrusion Detection and Prevention System) – это
программные или аппаратные системы обнаружения и
предотвращения вторжений, обеспечивающие сетевую и
компьютерную безопасность.
IDS – это пассивная система обнаружения, которая в
режиме реального времени анализирует весь трафик и при
необходимости сообщает о возможных угрозах. Она никак
не модифицирует сетевые пакеты данных и не влияет на
работу сетевой инфраструктуры, в то время как IPS
способна предотвратить доставки пакетов подобно тому,
как это делает брандмауэр.

3.

Основные понятия
IPS, являясь системой предотвращения вторжений, также
нацелена на постоянный анализ трафика, вот только
полномочий у этой службы больше – при необходимости
она может отклонять получение пакетов, если системный
анализ выявит угрозу. Причем для обнаружения угроз
используется актуальная база данных сигнатур (шаблоны,
по которым определяется атака через сравнение с
возможным инцидентом), так что её рекомендуется
регулярно обновлять, чтобы система должным образом
выполняла свои функции.

4.

Различие между системами
Основное различие между ними в том, что IDS — это
система мониторинга, а IPS – система управления. IDS
никоим образом не изменяет сетевые пакеты, тогда как IPS
предотвращает доставку пакета в зависимости от
содержимого пакета, подобно тому, как межсетевой экран
предотвращает трафик по IP-адресу. Система обнаружения
вторжений (IDS) представляет собой пассивную систему,
которая сканирует трафик и сообщает об угрозах.

5.

Что обеспечивают IDS/IPS системы?
1.
2.
3.
4.
5.
6.
Обнаружение и блокировка опасного контента;
Удаление вредоносных пакетов;
Блокировка трафика с исходного адреса;
Отправление сигнала тревоги администратору;
Сбрасывание подозрительных соединений;
Недопущение проникновения угроз в систему.

6.

Основные функции системы IDS
К основным функциям систем IDS относятся:
1.
2.
3.
4.
5.
6.
7.
Выявление вторжений и сетевых атак;
Запись всех событий;
Поиск уязвимостей;
Прогнозирование атак;
Распознавание источника атаки: инсайд или взлом;
Информирование служб ИБ об инциденте в реальном
времени;
Формирование отчетов.

7.

Основные функции системы IPS
К ключевым функциям IPS относятся:
Блокировка атак — прекращение доступа к хостам, обрыв
сессии сотрудника, нелегитимно обращающегося к
данным;
2. Изменение конфигурации устройств в сети компании для
предотвращения атаки;
3. Замена содержания атаки — удаление или фильтрация
инфицированных файлов перед отправкой пользователям
на уровне сетевых пакетов.
1.

8.

Основные виды систем обнаружения
вторжений
Выбирая систему IPS/IDS для организации важно учитывать их
виды, отличающиеся расположением, механизмами работы
аналитических модулей. Они могут быть:
1. Сетевыми (NIDS) — для проверки сетевого трафика с
коммутатора. В основе лежит протокол СОВ (PIDS) —
мониторит трафик по HTTP и HTTPS-протоколами.
2. Основанные на прикладных протоколах СОВ (APIDS) — для
проверки специализированных прикладных протоколов.
3. Узловые или Host-Based (HIDS) — анализируют журналы
приложений, состояние хостов, системные вызовы.
4. Гибридные — объединяют функции нескольких видов систем
обнаружения вторжений. К этому виду можно отнести систему
«Гарда Монитор» .

9.

Технология NIDS
Предусматривает возможность установки системы в
стратегически важных сетевых узлах с целью анализа входящего
и исходящего трафика для всех устройств. NIDS демонстрирует
крайне высокую эффективность, так как анализирует буквально
каждый пакет данных, начиная с канального уровня и заканчивая
уровней приложений. При этом, в отличие от стандартных
фаерволов и межсетевых экранов, NIDS умеет обнаруживать и
внутренние угрозы.
Недостатком технологии является «прожорливость» – система
анализирует вообще весь трафик, а для этого ей требуется много
вычислительных мощностей центрального процессора и
оперативной памяти. По этой причине применение NIDS на
уровне корпоративной сетевой инфраструктуры может приводить
к ощутимым задержкам при обмене данными.

10.

Хостовая система HIDS
Хостовые системы, в отличие от сетевых, устанавливаются
«точечно» на каждый отдельно взятый хост в рамках сети,
позволяя обеспечить выборочную защиту подверженных
атаке узлов. HIDS тоже способна анализировать входящий
и исходящий трафик, но делает это более локально, для
одного устройства.
Установку HIDS рекомендуют осуществлять на
критически важные машины в сети для предотвращения
угроз. Данная технология потребляет ощутимо меньше
ресурсов при работе, но требуется опыт и глубокое
понимание специфики конкретной сетевой
инфраструктуры, чтобы правильно выбрать целевые хосты
для HIDS.
English     Русский Правила